网页挂马

网页挂马是指在未经用户许可的情况下，在访问某个网站时，将木马程序下载并执行的一种网络攻击手段。

工作原理

网页挂马的工作原理是通过将木马程序嵌入到网页中，当用户访问该网页时，木马程序会在用户不知情的情况下自动下载并执行，从而实现对用户计算机的远程控制和攻击。

常见方式

常见的网页挂马方式包括：

1. 将木马伪装为页面元素，使其被浏览器自动下载到本地。

2. 利用脚本运行的漏洞下载木马。

3. 释放隐含在网页脚本中的木马。

4. 将木马伪装为缺失的组件，或将其与缺失的组件捆绑在一起，以便在下载后由浏览器自动执行。

5. 调用某些COM组件，利用其漏洞下载木马。

6. 利用页面元素渲染过程中的格式溢出释放木马。

7. 利用页面元素渲染过程中的格式溢出下载木马。

执行方式

网页挂马的执行方式多种多样，其中包括：

1. 利用页面元素渲染过程中的格式溢出执行Shellcode，进而执行下载的木马。

2. 利用脚本运行的漏洞执行木马。

3. 伪装成缺失组件的安装包被浏览器自动执行。

4. 通过脚本调用组件对象模型组件，利用其漏洞执行木马。

5. 利用页面元素渲染过程中的格式溢出直接执行木马。

6. 利用COM组件与外部其他程序通讯，通过其他程序启动木马。

避免检测

为了避免被杀毒软件检测到，一些网页挂马还会采取以下措施：

1. 修改系统时间，使杀毒软件失效。

2. 摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效。

3. 修改杀毒软件病毒库，使之无法检测到恶意代码。

4. 通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。

检测方式

网页挂马的检测方式主要包括：

1. 特征匹配，即将网页挂马的脚本按照脚本病毒的方式进行检测。

2. 主动防御，即在浏览器执行某些操作时发出警告，例如下载插件安装包时提醒用户是否运行。

3. 检查父进程是否为浏览器，但这可能会导致误报。

预防措施

预防网页挂马的措施包括：

1. 对于提供上传附件功能的网站，应进行身份验证，并限制上传权限。

2. 定期更新所使用的程序。

3. 不要在前端网页上添加后台管理程序登录页面的链接。

4. 定期备份重要的数据库和其他文件，并避免将备份文件存放在默认的备份目录中。

5. 设置复杂的管理员用户名和密码。

6. 在Internet信息服务中禁用目录的写入和执行功能，这有助于防止ASP木马。

7. 在服务器或虚拟主机控制面板中，取消有上传权限的目录的ASP运行权限。

8. 创建一个robots.txt文件并上传到网站根目录，以防范利用搜索引擎窃取信息的攻击。

处理建议

如果发现网页被挂马，应及时寻求专业安全人员的帮助，以避免因网页挂马而带来的潜在危害。

参考资料

记一次站点被挂马问的神奇经历.知乎专栏.2024-11-04

什么是网页挂马?.什么是网页挂马?.2024-11-04

网页挂马.江门市人民政府.2024-11-04